Wie Datenschutz im Homeoffice gelingt

Leadership

Als im März 2020 die Unternehmen quasi über Nacht hunderttausende Arbeitsplätze in die heimischen Wohnzimmer verlagerten, war fehlender Datenschutz kein Argument. Zunächst ging es darum, den Betrieb irgendwie aufrechtzuerhalten – egal, ob mit dem privaten Notebook am Küchentisch oder am Gaming-PC im Kinderzimmer. Inzwischen haben sogar skeptische Führungskräfte eingesehen, dass Menschen im Homeoffice gut arbeiten können. Wo Unternehmen aber nach einem Jahr noch immer hinterherhinken, ist das Thema Datenschutz. Besonders wenn Kolleginnen und Kollegen remote arbeiten, sind Führungskräfte und HR angehalten, Mitarbeitende für erhöhte Eigenverantwortung zu sensibilisieren.

Unternehmen müssen den Datenschutz im mobilen Büro systematisch in den Blick nehmen, Mitarbeitern das richtige Rüstzeug und Know-how an die Hand geben und sie zu aktiver Datensicherheit anhalten. Denn ohne die Crew geht es nicht. Als Erstes dürfen HR-Verantwortliche sich nicht von angstschürenden, oft völlig überzogenen Meldungen zu Datenschutzthemen verrückt machen lassen. Wer sich um die relevanten Stellschrauben kümmert, überzeugt auch das Team zum Mitmachen. Damit Daten im Homeoffice genauso sicher und geschützt sind wie innerhalb des Firmengebäudes, brauchen Betriebe individuelle Maßnahmen. Folgende Aspekte gelten als sichere Richtlinie für alle:

1. Homeoffice versus Mobile Office

Zu Beginn des ersten Lockdowns schickten Unternehmen ihre Mitarbeiter in der Regel nicht ins Homeoffice, sondern zum mobilen Arbeiten nach Hause – das ist ein gesetzlicher Unterschied. Beim Homeoffice, besser Telearbeitsplatz, gilt die Arbeitsstättenverordnung. Der Arbeitgeber stellt den Mitarbeitenden ein komplettes Büro inklusive IT-Ausstattung in deren privater Wohnung zur Verfügung.

Mobiles Arbeiten hingegen kann überall stattfinden, im Flugzeug, in der Hotellobby oder am Küchentisch. Die Mitarbeiterin oder der Mitarbeiter arbeitet üblicherweise über die firmeneigenen IT-Systeme, was auch mit privater Hardware möglich ist. Dann müssen Arbeitgeber das Ganze aber durch Verträge und Richtlinien regeln. Der Fachbegriff für die betriebliche Nutzung von privater Hardware lautet BYOD – Bring your Own Device.

2. IT-Basisschutz

Damit Daten zu Hause genauso sicher sind wie im Büro, brauchen Unternehmen einen IT-Basisschutz. Wer diesen aktuell nicht gewährleisten kann, fängt bitte direkt morgen damit an. Schon durch eine einzige Datenpanne im mobilen Büro können sich Betriebe großen Ärger mit der Datenschutzaufsichtsbehörde einhandeln, bis hin zu schmerzhaften Bußgeldern. Zum Basisschutz gehören folgende Maßnahmen:

Wo immer möglich, vermeiden Unternehmen das besagte BYOD. Arbeitgeber stellen IT-Systeme sowie Smartphones. Nur in Ausnahmefällen – wie im Lockdown – verwenden die Beschäftigten private Endgeräte. Auch hier gilt, sich an die individuellen Spielregeln zu halten. IT-Expertinnen und -Experten richten sowohl die Hardware als auch den Arbeitsplatz in den Privatwohnungen (bei Homeoffice) nach aktuellem Stand der Technik ein. Ob der Laptop auf dem Küchentisch steht, im Zugabteil oder in der Hotellobby, spielt keine Rolle: Die Vertraulichkeit muss gewährt bleiben. Verbindungen auf den Firmenserver laufen nur über einen VPN-Tunnel. Festplatten sollten verschlüsselt und Laptops im mobilen Einsatz mit einer Sichtschutzfolie ausgestattet werden.

3. Mitarbeitende unterweisen

Die dritte Säule für sicheres Remote Working bilden die Mitarbeitenden selbst. Ab einem gewissen Punkt liegt der Datenschutz in deren Hand. Um sie zu einem bewussten Umgang anzuhalten, müssen sie dessen Relevanz verstehen. Auch wenn viele die DSGVO als Schikane empfinden, dient sie vielmehr als Hilfsmittel: Sie schützt die Privatsphäre der Mannschaft, die betriebswirtschaftlichen Informationen des Unternehmens und Firmengeheimnisse. All diese Datenarten sind beim mobilen Arbeiten besonders gefährdet. Für kurzfristige Sicherheit helfen folgende Infos:

Wie funktioniert ein sicheres Webmeeting?

Bei Videokonferenzen brauchen Anwender klare Vorgaben: Welche Software nehmen wir? Ab wann schützen wir ein Webmeeting mit einem Passwort? Wie nutzen wir die Chatfunktion? Betriebe können auch einen Onlineknigge ergänzen, der Verhaltens-, Kleidungs- und Kommunikationsregeln in den Blick nimmt. Sind die Rahmenbedingungen klar, minimiert das den Stress. Der Kopf bleibt frei fürs Arbeiten.

Wie Spam-Mails erkennen?

Mitarbeitende für Phishing-Mails zu sensibilisieren, gehört zur allgemeinen Datenschutzunterweisung.

Doch im Homeoffice kann ich im Zweifel nicht so leicht den Kollegen fragen: „Hör mal, meinst du, folgende Mail ist Spam …?“ Wer sein Team doppelt sensibilisieren will, hat die Möglichkeit, eine Phishing-Simulation durchzuführen. Dabei werden simulierte Spam-E-Mails an die gesamte Mannschaft versendet. Wer diese Mails öffnet, landet auf einer Lernseite.

Was tun bei einer Datenpanne?

Trotz aller Maßnahmen und Schulungen kann es zu Datenpannen kommen. Dann heißt es Ruhe bewahren und unverzüglich den Vorgesetzten oder Datenschutzverantwortlichen informieren. Innerhalb von 72 Stunden muss dieser entscheiden: Handelt es sich um einen meldepflichtigen Vorfall oder nicht? Worst Case wäre, wenn Unternehmen eine Datenpanne nicht melden und Betroffene sich bei der Datenschutzaufsicht beschweren.

Wer haftet für Datenschutz im Homeoffice?

Verantwortlich bleibt immer der Inhaber, die Geschäftsführerin oder der Vorstand. Trotzdem tragen die Beschäftigten im Homeoffice viel höhere Verantwortung, dass die Schutzmaßnahmen auch eingehalten werden. Wer hier vorsätzlich oder grob fahrlässig handelt, wird auch als Mitarbeiterin oder Mitarbeiter dafür geradestehen müssen.

Unterstützung von außen

Wenn alle wissen, worauf sie achten müssen, ist Datenschutz gar nicht so kompliziert. Oft zweifeln Einzelne bei den immer selben Fragen – besonders, wenn Themen durch die Medien geistern. Viele googeln dann die Sachlage – mit dem Resultat, dass die Suchmaschine viele widersprüchliche Ergebnisse ausspuckt. Selbst Datenschutzbehörden widersprechen sich oft. Wenn der IT-Basisschutz steht und Mitarbeitende achtsam sind, minimiert sich das Bußgeldrisiko extrem. Bei weiteren Fragen helfen Datenschutzbeauftragte. Ihre Aufgabe ist es, datenschutzfreundliche Lösungen zu empfehlen und die individuellen Anforderungen DSGVO-konform umgesetzt zu wissen. Außerdem empfiehlt sich eine Onlineunterweisung, um die Belegschaft gezielt und flächendeckend aufzuklären. Die Schulung sollte Begrifflichkeiten klären, technische und organisatorische Schutzmaßnahmen vorstellen, die Besonderheiten im Homeoffice beleuchten und mit einer Wissensabfrage schließen. Bei ausreichend richtigen Antworten erhalten die Teilnehmer ein Zertifikat. Und die Verantwortlichen können ruhig schlafen.

Unsere Newsletter

Abonnieren Sie die HR-Presseschau, die Personalszene oder den HRM Arbeitsmarkt und erfahren Sie als Erstes alles über die neusten HR-Themen und den HR-Arbeitsmarkt.
Newsletter abonnnieren
Achim Barth, Datenschutzbeauftragter

Achim Barth

Achim Barth ist mehrfach zertifizierter Datenschutzbeauftragte und begleitet Privatleute und Unternehmen in die IT-Sicherheit. In Workshops, Seminaren und Vorträgen begeistert der Gründer von „Barth Datenschutz“ mit praktikablen Lösungen. Risikomanagement ist sein Steckenpferd. Sein Fachwissen vermittelt er eingängig und unterhaltsam – sodass sowohl Unerfahrene als auch Technikfans vom Mehrwert und Wettbewerbsvorteil seines Know-hows profitieren. www.barth-datenschutz.de

Weitere Artikel